如何破解CuteFTP 4.0 (5千字)

看雪資料發表於2000-07-20
FTP

CuteFTP早期的版本的保護還是比較厲害的,先是KeyFile,後來才改成註冊碼。它有個3.x版本被拿來作為HCU(High Cracking University)的strainer。4.0版本可以變成註冊版,但是輸入註冊碼之後它要連到其公司的伺服器上去驗證。輸入註冊碼之後是可以跟出註冊碼來的,但是通不過聯機驗證則它不會將註冊碼儲存起來,所以下次啟動還是未註冊版。可以從它啟動時開始跟蹤,找到註冊碼,實際上所有的軟體都可以從啟動時入手。
用RegMon、FileMon檢查一下,發現有個登錄檔鍵叫做Key1,裡面放的是一些很長的亂七八糟的字元。可以用bpx RegQueryValueExA作斷點,然後跟蹤,但是這玩意兒讀的登錄檔鍵太多,且SoftICE的條件斷點又不是很靈光(我用bpx RegQueryValueExA if *(esp+8)=='Key1'作斷點它不中斷),所以改用W32Dasm來尋找合適的斷點。將其反彙編之後查詢引用到"Key1"這個字串的地方,記下其地址作為斷點,然後用Symbol Loader載入主程式,設好斷點,發現在下面的地方讀出該鍵值,但它要求Key1串的長度小於等於20。

015F:00489074  MOV      ESI,[ADVAPI32!RegQueryValueExA]
015F:0048907A  JNZ      004890A9
015F:0048907C  MOV      ECX,[ESP+10]
015F:00489080  LEA      EDX,[ESP+14]
015F:00489084  PUSH      EDX
015F:00489085  LEA      EAX,[ESP+20]
015F:00489089  PUSH      EBX
015F:0048908A  PUSH      EAX
015F:0048908B  PUSH      00
015F:0048908D  PUSH      0053E030        //Key1
015F:00489092  PUSH      ECX
015F:00489093  CALL      ESI            //讀登錄檔
015F:00489095  TEST      EAX,EAX
015F:00489097  JNZ      004890A2
015F:00489099  MOV      EDX,[ESP+10]
015F:0048909D  PUSH      EDX
015F:0048909E  CALL      EBP
015F:004890A0  JMP      00489108

.........

015F:00489108  MOV      ECX,[ESP+14] //Key1串的長度
015F:0048910C  CMP      ECX,14      //長度小於等於0x14則繼續檢查
015F:0048910F  JBE      0048911B
015F:00489111  POP      EDI
015F:00489112  POP      ESI
015F:00489113  POP      EBP
015F:00489114  XOR      EAX,EAX      //bag guy
015F:00489116  POP      EBX
015F:00489117  ADD      ESP,10
015F:0048911A  RET
015F:0048911B  MOV      EAX,[ESP+28]
015F:0048911F  TEST      EAX,EAX
015F:00489121  JZ        00489125
015F:00489123  MOV      [EAX],ECX
015F:00489125  POP      EDI
015F:00489126  POP      ESI
015F:00489127  POP      EBP
015F:00489128  MOV      EAX,00000001
015F:0048912D  POP      EBX
015F:0048912E  ADD      ESP,10
015F:00489131  RET

將Key1串改成一個長度小於20的ASCIIZ串,重新來一遍。等它讀完Key1後用BPR斷點監視Key1串,會看見它把Key1轉換成大寫,並檢查長度:

015F:004AB0F0  REPNZ SCASB
015F:004AB0F2  NOT      ECX
015F:004AB0F4  DEC      ECX
015F:004AB0F5  CMP      ECX,0E
015F:004AB0F8  JNZ      004AB16D

可見長度應為14個字元。接下來它檢查Key1的第一個字元是否為'A',並計算註冊碼的其它位:

015F:00491828  CMP      BYTE PTR [EBX],41  //Key1的首字元
015F:0049182B  JZ        00491832
015F:0049182D  POP      EDI
015F:0049182E  XOR      EAX,EAX            //bad guy
015F:00491830  POP      EBX
015F:00491831  RET
015F:00491832  PUSH      ESI                //以下為計算過程
015F:00491833  MOV      ESI,00000001
015F:00491838  MOV      AL,[EBX+ESI]
015F:0049183B  PUSH      EAX
015F:0049183C  CALL      004917D0
015F:00491841  SHL      EDI,05
015F:00491844  ADD      ESP,04
015F:00491847  OR        EDI,EAX
015F:00491849  INC      ESI
015F:0049184A  CMP      ESI,07
015F:0049184D  JL        00491838
015F:0049184F  MOV      CL,[EBX+07]
015F:00491852  PUSH      ECX
015F:00491853  CALL      004917D0
015F:00491858  ADD      ESP,04
015F:0049185B  LEA      EDX,[EDI*4+00000000]
015F:00491862  SHR      EAX,02
015F:00491865  POP      ESI
015F:00491866  POP      EDI
015F:00491867  OR        EAX,EDX
015F:00491869  POP      EBX
015F:0049186A  RET

計算完了之後就開始比較:

015F:004AB0F0  REPNZ SCASB
015F:004AB0F2  NOT      ECX
015F:004AB0F4  DEC      ECX
015F:004AB0F5  CMP      ECX,0E    //這是剛才判長度的地方
015F:004AB0F8  JNZ      004AB16D
015F:004AB0FA  PUSH      ESI
015F:004AB0FB  CALL      004B1B8A
015F:004AB100  PUSH      0E
015F:004AB102  LEA      EAX,[ESP+20]
015F:004AB106  PUSH      ESI
015F:004AB107  PUSH      EAX
015F:004AB108  CALL      004AF930
015F:004AB10D  LEA      ECX,[ESP+28]
015F:004AB111  MOV      BYTE PTR [ESP+36],00
015F:004AB116  PUSH      ECX
015F:004AB117  CALL      00491820      //這是剛才計算的地方
015F:004AB11C  MOV      ESI,EAX
015F:004AB11E  PUSH      ESI
015F:004AB11F  CALL      00491510
015F:004AB124  LEA      EDX,[ESP+20]
015F:004AB128  MOV      EDI,EAX
015F:004AB12A  PUSH      EDX
015F:004AB12B  PUSH      ESI
015F:004AB12C  MOV      BYTE PTR [ESP+28],00
015F:004AB131  CALL      004916A0
015F:004AB136  LEA      EAX,[ESP+38] 
015F:004AB13A  PUSH      0E            //14個字元
015F:004AB13C  LEA      ECX,[ESP+2C]
015F:004AB140  PUSH      EAX            //真註冊碼
015F:004AB141  PUSH      ECX            //假註冊碼
015F:004AB142  CALL      004B04D0      //比較
015F:004AB147  ADD      ESP,2C
015F:004AB14A  TEST      EAX,EAX
015F:004AB14C  JNZ      004AB15E
015F:004AB14E  MOV      EDX,[ESP+2C]
015F:004AB152  OR        AX,FFFF      //good guy
015F:004AB156  MOV      [EDX],EDI
015F:004AB158  POP      EDI
015F:004AB159  POP      ESI
015F:004AB15A  ADD      ESP,20
015F:004AB15D  RET
015F:004AB15E  MOV      EAX,[ESP+2C]
015F:004AB162  MOV      [EAX],EDI
015F:004AB164  POP      EDI
015F:004AB165  XOR      AX,AX        //bad guy
015F:004AB168  POP      ESI
015F:004AB169  ADD      ESP,20
015F:004AB16C  RET

至此就找出了註冊碼。根據上面的計算和比較過程可知註冊碼與名字什麼的沒有關係,所以它啟動時不用讀取使用者名稱。用RegMon監視一下它顯示About對話方塊的時候的動作,發現它還讀取RegUserName鍵,這顯然是存放使用者名稱的。
關鍵的健:
HKEY_LOCAL_MACHINE\Software\GlobalSCAPE Inc.\CuteFTP\Key1
HKEY_LOCAL_MACHINE\Software\GlobalSCAPE Inc.\CuteFTP\RegUserName
HKEY_CLASSES_ROOT\pfc
最後一個鍵是存放日期的,老版本的也在這裡。

dr0, 2000.7.20

相關文章